В.П. Мельников и др. - Информационная безопасность и защита информации (1022816), страница 27
Текст из файла (страница 27)
На организационном уровне решаются следующие задачи обеспечения ИБ в КС: ° организация работ по разработке системы защиты процессов переработки информации; ° ограничение доступа на объект и к ресурсам КС; !! 7 Правовые и организационные методы и средства предотвращения угроз ИБ Система стандартизации, лицензирования и сертификации средств зашиты информации Иерархическая структура государственных органов политики безопасности ИТ Государственная политика безопасности ИТ Правовой статус КС, информации, систем зашиты информации владельцев и пользователей информации и т.д.
Воспитание патриотизма и бдительности, повышение уровня образования и ответственности граждан в области ИТ Рис. 3.5. Классификация правовых и организационных методов и средств предотвращения угроз ИБ 118 ° разграничение доступа к ресурсам КС; ° планирование мероприятий; ° разработка документации; ° воспитание и обучение обслуживающего персонала и пользователей; ° сертификация средств защиты обработки информации; ° лицензирование деятельности по защите процессов переработки информации; ° аттестация объектов защиты; ° совершенствование системы защиты процессов переработки информации'„ ° оценка эффективности функционирования системы зашиты; ° контроль выполнения установленных правил работы в КС.
Государство должно обеспечить в стране защиту процессов переработки информации как в масштабах всего государства, так и на уровне организаций и отдельных граждан. Для решения этой проблемы государство обязано: 1) выработать государственную политику безопасности в области ИТ; 2) законодательно определить правовой статус компьютерных систем, информации, систем защиты процессов переработки информации, владельцев и пользователей информации и т.д.; 3) создать иерархическую структуру государственных органов, вырабатывающих и воплощающих в жизнь политику безопасности ИТ; 4) создать систему стандартизации, лицензирования и сертификации в области зашиты процессов переработки информации; 5) обеспечить приоритетное развитие отечественных защищенных информационных систем; 6) повысить уровень образования граждан в области ИТ, воспитать у них патриотизм и бдительность; 7) установить ответственность граждан за нарушения законодательства в области ИТ.
Политика государства РФ в области безопасности ИТ должна быть единой. Исходя из этой позиции в Российской Федерации вопросы ИБ нашли отражение в «Концепции национальной безопасности Российской Федерации», утвержденной Указом Президента РФ от 17.!2.97 Х» 1300, а затем в Доктрине ИБ РФ. В «Концепции национальной безопасности Российской Федерации» определены важнейшие задачи государства в области ИБ (см.
гл. 1). Усилия государства должны быть направлены на воспитание ответственности у граждан за неукоснительное выполнение правовых норм в области ИБ. Необходимо использовать все доступные средства для формирования у граждан патриотизма, чувства гордости за принадлежность к стране, коллективу. Важной задачей государства является также повышение уровня образования граждан в области ИТ. Большая роль в этой работе принадлежит образовательной системе государства, государственным органам управления, средствам массовой информации. Правовые методы защиты процессов переработки информации основываются на законодательной базе обеспечения информацией, которая определяется социально-экономическими изменениями в обществе, происшедшими в последние годы.
Они требовали законодательного регулирования отношений, складывающихся в области ИТ. В связи с этим был принят Федеральный закон «Об информации, информатизации и защите информации» от 25.01.95 М 24-ФЗ, Другим важным правовым документом, регламентирующим вопросы защиты информации в КС, является Закон РФ «О государственной тайне» от 2!.07.93 )ч» 5485-!. Отношения, связанные с созданием программ и баз данных, регулируются Законами РФ «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 М 3523-1 и «Об авторском праве и смежных правах» от 09.07.93 М 5352-1. Очень важным правовым вопросом является установление юридического статуса КС и, особенно, статуса информации, получаемой с применением КС. Статус информации, или ее правомочность, служит основанием для выполнения (невыполнения) определенных действий. Например, в одних АСУ соответствующее должностное лицо имеет юридическое право принимать решения только на основании информации, полученной из АСУ.
В других АСУ для принятия решения необходимо получить подтверждающую информацию по другим каналам. В одной и той же АСУ 119 Президент РФ Правительство РФ Совет Безопасности РФ Меиведомственная комиссия по зашите государственной тайны Государственная техническая комиссия при Президенте РФ ФСБ Рис. 3.6. Структура государственных органов обеспечения ИБ в РФ решение может приниматься как с получением подтверждающей информации, так и без нее. Примером может служить организация перевода денег с помощью АСУ. До определенной суммы перевод осуществляется автоматически при поступлении соответствующей заявки.
Для перевода крупной суммы выполняются дополнительные процедуры проверки правомочности такой операции. Для этого может быть затребована дополнительная информация, в том числе и по дублирующей системе, а окончательное решение о переводе денег может принимать должностное лицо. Правовой статус информации устанавливается с учетом ее стоимости (важности) и степени достоверности, которую способна обеспечить компьютерная система. Другие законодательные акты (законы РФ, указы и распоряжения Президента РФ, а также организационно-методические и руководящие документы Государственной технической комиссии при Президенте РФ) указывают на организационно-правовую реализацию ИБ путем комплексной защиты информационной деятельности в России. Организация такой защиты на государственном уровне проводится в соответствии со структурой государственных органов обеспечения ИБ в Российской Федерации (рис.
3.6) (см. гл. 2). В министерствах и ведомствах создаются иерархические структуры обеспечения безопасности информации, которые, как правило, совпадают с организационной структурой министерства (ведомства). Называться они могут по-разному, но функции вы- 120 полняют сходные. Одними из основных задач таких структур являются воспитание патриотизма и бдительности, повышение уровня образования и ответственности граждан в области ИТ. Методы предотвращения угроз несанкционированного изменения инфраструктуры КС. Они касаются процессов деформации структурного построения системы.
Здесь несанкционированному изменению могут быть подвергнуты алгоритмическая, программная и техническая структуры КС на этапах ее разработки и эксплуатации. На этапе эксплуатации необходимо выделить работы по модернизации КС, представляющие повышенную опасность для ИБ. Особенностью защиты от несанкционированного изменения структур (НИС) КС является универсальность методов, позволяющих наряду с умышленными воздействиями выявлять и блокировать непреднамеренные ошибки разработчиков и обслуживающего персонала, а также сбои и отказы аппаратных и программных средств.
Обычно НИС КС, выполненные на этапе разработки и при модернизации системы, называют закладками. Для предотвращения угроз данного класса на различных этапах жизненного цикла КС решаются различные задачи. Классификация методов и средств предотвращения угроз несанкционированного изменения инфраструктур КС представлена на рис. 3.7. Методы и средства предотвращения угроз несанкционированного изменения инфраструктур КС Вьивление и устранение закладок и ошибок в инфраструкгуре КС Привлечение высококвалифицированных специалистов Применение стандартных блочных иерархических структур Дублирование разработки КС Контроль адекватности функционирования устройства, программы, алгоритма (тестирование) Многослойная фильтрация Автоматизаши процесса разработки КС Контроль порядка разработки Сертификация готового пролукта (программных и аппаратных средств) Рнс. 3.7.
Классификация методов и средств предотвращения угроз несанкционированного изменения инфраструктур КС 121 Рис. 3.8. Функциональная структура черного ящика как модели КС На этапе разработки и при модернизации КС основной задачей является исключение ошибок и возможности внедрения закладок. На этапе эксплуатации выявляются закладки и ошибки, а также обеспечивается целостность, неизменность структур.
Технологии использования и аппаратное сопровождение описаны в гл. 5. Особые требования предъявляются к квалификации специалистов, занятых разработкой технического задания и алгоритмов, осуществляющих контроль над ходом разработки и привлекаемых к сертификации готовых продуктов. Представление любой системы в виде иерархической блочной структуры позволяет представлять любой блок в виде черного ящика ~рис. 3.8).
Блок осуществляет преобразование вектора Х входных воздействий при наличии вектора внешних условий Уи с учетом состояния блока )е Функциональное преобразование г (х, ~, у) переводит блок в состояние, характеризуемое состоянием У,„, где хи Х ~6 Ууе К Блочная структура системы позволяет упростить контроль функционирования системы, использовать стандартные отлаженные и проверенные блоки, допускает параллельную разработку всех блоков и дублирование разработки.
Под дублированием разработки алгоритма программы или устройства понимается независимая (возможно, разными организациями) разработка одного и того же блока. Сравнение блоков позволяет, во-первых, выявить ошибки и закладки, а во-вторых, выбрать наиболее эффективный блок. Проверка адекватности функционирования алгоритма, программы, устройства реализуется путем моделирования процессов, использования упрощенных (усеченных) алгоритмов, решения обратной задачи (если она существует), а также с помощью тестирования. Тестирование является универсальным средством проверки как адекватности, тзк и работоспособности блоков.'Если число входных воздействий и внешних условий конечно и може~ быть задано при испытании блока за приемлемое для практики время, а также известны все требуемые реакции блока, то адекватность функционирования блока может быть однозначно подтверждена, т.е.